Posted on

Múltiples vulnerabilitats en productes HP

HP ha publicat 13 vulnerabilitats: 1 de severitat crítica, 7 de severitat alta i la resta de severitat mitjana. En cas de ser explotades podrien provocar una denegació de servici, execució de codi, divulgació d’informació confidencial, desbordament de búfer o injecció de scripts.

Análisi

La vulnerabilitat de severitat crítica en la implementació del desxifrat SM2 en OpenSSL permet que la funció EVP_PKEY_decrypt() calcule incorrectament la grandària del búfer necessari per al text pla en la seua primera crida. Això pot resultar en un búfer massa xicotet en la segona crida, causant un desbordament de búfer de fins a 62 bytes. Un atacant podria explotar això per a sobreescriure dades adjacents en el muntó, alterant el comportament de l’aplicació o provocant el seu bloqueig. S’ha assignat l’identificador CVE-2021-3711 per a esta vulnerabilitat.

La resta de vulnerabilitats es poden consultar en l’enllaç de les referències.

Recursos afectats

    • SSH Server (T0801);
    • NonStop SSL (T0910);
    • MR-Win6530 (T0819).

Recomanacions

Actualitzar a l’última versió disponible.

Referencias

https://support.hpe.com/hpesc/public/docDisplay?docId=hpesbns04859en_us&docLocale=en_US

Posted on

Firefox corregix dos vulnerabilitats de dia zero

Mozilla ha llançat actualitzacions de seguretat per a abordar dos vulnerabilitats crítiques en el seu navegador Firefox que podrien ser explotades per a accedir a dades confidencials o aconseguir l’execució de codi.

Análisi

Mozilla ha llançat actualitzacions de seguretat per a abordar dos vulnerabilitats crítiques en el seu navegador Firefox que podrien ser explotades per a accedir a dades confidencials o aconseguir l’execució de codi.

Les vulnerabilitats, les dos explotades com a dia zero, s’enumeren a continuació:

CVE-2025-4918: una vulnerabilitat d’accés fora de límits en resoldre objectes Promise que podria permetre a un atacant realitzar operacions de lectura o escriptura en un objecte Promise de JavaScript.
CVE-2025-4919: una vulnerabilitat d’accés fora de límits en optimitzar sumes lineals que podria permetre a un atacant realitzar operacions de lectura o escriptura en un objecte JavaScript en confondre les grandàries d’índex de la matriu.

En altres paraules, l’explotació exitosa de qualsevol de les vulnerabilitats podria permetre a un adversari realitzar operacions de lectura o escriptura fora dels límits, que després podrien usar-se per a accedir a informació que d’una altra manera seria confidencial o provocar una corrupció de memòria que podria aplanar el camí per a l’execució de codi.

Recursos afectats

Totes les versions de Firefox anteriors a la 138.0.4 (inclòs Firefox per a Android).
Totes les versions de Firefox Extended Support Release anteriors a la 128.10.1.
Totes les versions de Firefox Extended Support Release anteriors a 115.23.1.

Recomanacions

Es recomana actualitzar a l’última versió de l’aplicació.

Referències

Posted on

Actualització de Seguretat d’Adobe de Maig 2025

Adobe ha llançat una actualització de seguretat crítica que aborda almenys 39 vulnerabilitats en diversos productes, incloent Adobe ColdFusion, Photoshop, Illustrator, Lightroom, Dreamweaver, Connect, InDesign, Substance 3D Painter, Bridge i Dimension.

Anàlisi

Les vulnerabilitats identificades abasten una varietat de productes i afecten tant plataformes Windows com macOS. L’explotació exitosa d’estes falles podria permetre a atacants executar codi arbitrari, eludir funcions de seguretat, accedir a informació sensible o causar interrupcions en el servici. Adobe ha assenyalat que no té coneixement que estes vulnerabilitats hagen sigut explotades activament abans de la disponibilitat dels pegats.

Per a més informació sobre les vulnerabilitats es recomana consultar el butlletí de seguretat d’Adobe.

Recursos afectats

    • Adobe ColdFusion: versions CF2023: fins a la 2023.0.1.314 i CF2021: fins a la 2021.0.10.314.
    • Adobe Photoshop: versions 2023 fins a la 24.7.3 i 2024: fins a la 25.9.1.
    • Adobe Illustrator: No s’han especificat versions.
    • Adobe Lightroom: No s’han especificat versions.
    • Adobe Dreamweaver: No s’han especificat versions.
    • Adobe Connect: No s’han especificat versions.
    • Adobe InDesign: No s’han especificat versions.
    • Adobe Substance 3D Painter: No s’han especificat versions.
    • Adobe Bridge: No s’han especificat versions.
    • Adobe Dimension: No s’han especificat versions.

Recomanacions

Adobe recomana que els usuaris i administradors de sistemes apliquen les actualitzacions corresponents sense demora.

    • Adobe ColdFusion: CF2023: 2023.0.1.315  i CF2021: 2021.0.10.315
    • Adobe Photoshop: 2023: 24.7.4 i 2024: 25.11
    • Adobe Illustrator: Actualització disponible en el lloc oficial
    • Adobe Lightroom: Actualització disponible en el lloc oficial
    • Adobe Dreamweaver: Actualització disponible en el lloc oficial
    • Adobe Connect: Actualització disponible en el lloc oficial
    • Adobe InDesign: Actualització disponible en el lloc oficial
    • Adobe Substance 3D Painter: Actualització disponible en el lloc oficial
    • Adobe Bridge: Actualització disponible en el lloc oficial
    • Adobe Dimension: Actualització disponible en el lloc oficial

Les versions corregides específiques poden variar segons el producte i la plataforma. Es recomana consultar el lloc oficial d’Adobe per a obtindre detalls precisos.

Referències

Posted on

Actualitzacions de seguretat de maig de 2025 de Microsoft

Ahir, 13 de maig de 2025, Microsoft va publicar la seua actualització mensual de seguretat, Patch Tuesday, abordant un total de 75 vulnerabilitats. Cinc d’estes vulnerabilitats han sigut identificades com a «zero-day» activament explotades, mentres que altres dos han sigut divulgades públicament sense evidència d’explotació. A més, s’han corregit 12 vulnerabilitats crítiques, principalment d’execució remota de codi (RCE) i elevació de privilegis.
Estes vulnerabilitats afecten una àmplia gamma de productes, inclosos Windows (10, 11 i versions de servidor), Microsoft Office, Visual Studio, Edge (mode IE), i servicis com Active Directory i Remote Desktop Gateway. La gravetat d’esta ronda de pegats destaca la necessitat urgent d’aplicar les actualitzacions corresponents.

Anàlisi

A continuació, es destaquen les vulnerabilitats més rellevants:

    • Zero days actius
      • CVE-2025-30397 (CVSS 7.5): corrupció de memòria en el motor de scripting de tipus execució remota de codi (RCE). Explotada activament.
      • CVE-2025-32706 (CVSS ND): vulnerabilitat en CLFS (Common Log File System) de tipus elevació de privilegis. Explotada activament.
      • CVE-2025-32701 (CVSS ND): vulnerabilitat addicional en CLFS de tipus elevació de privilegis. Explotada activament.
      • CVE-2025-32709 (CVSS ND): vulnerabilitat en Windows WinSock Helper de tipus elevació de privilegis. Explotada activament.
      • CVE-2025-32392 (CVSS ND): vulnerabilitat en el component MSHTML (Edge IE mode) de tipus RCE via navegador. Explotada activament.
    • Altres vulnerabilitats crítiques
      • CVE-2025-30504 (CVSS 9.8): vulnerabilitat de tipus elevació de privilegis.
      • CVE-2025-30501 (CVSS 8.1): vulnerabilitat de tipus execució remota de Codi (RCE).
      • CVE-2025-30506 (CVSS 8.5): vulnerabilitat de tipus execució remota de Codi (RCE).
      • CVE-2025-30502 (CVSS 8.8): vulnerabilitat de tipus execució remota de Codi (RCE).

Recursos afectats

    • Sistemes operatius: Windows 10 i 11.
    • Aplicacions: Microsoft Edge (mode IE), Visual Studio, Microsoft Defender for Identity.
    • Servicis: Windows Routing and Remote Access Service (RRAS), Remote Desktop Gateway Service, Active Directory Certificate Services (AD CS).

Recomanacions

    • Aplicar totes les actualitzacions de seguretat proporcionades per Microsoft.
    • Prioritzar la mitigació dels 5 zero-days, especialment en sistemes exposats a internet.
    • Deshabilitar el mode IE en Microsoft Edge si no és necessari.
    • Revisar i reforçar les configuracions de seguretat en servicis com RRAS i Remote Desktop Gateway.

Referències